Perisian Hasad Mudah Alih FireScam
Ancaman Android yang baru dikenal pasti bernama FireScam telah ditemui. Ia menyamar sebagai versi aplikasi pemesejan Telegram yang dipertingkatkan. Taktik menipu ini membolehkan perisian yang mengancam untuk mengekstrak data pengguna yang sensitif dan mengekalkan akses jauh yang berterusan kepada peranti yang terjejas.
Isi kandungan
Penyamaran Pandai: Aplikasi Premium Telegram Palsu
FireScam diedarkan dengan bertopengkan aplikasi 'Telegram Premium' palsu. Ia merebak melalui tapak web pancingan data yang dihoskan di GitHub.io, yang secara palsu memaparkan dirinya sebagai RuStore—pasaran aplikasi yang terkenal di Rusia. Penganalisis keselamatan menggambarkan ancaman mudah alih ini sebagai kompleks dan sangat mudah disesuaikan. Setelah dipasang, ia mengikuti proses jangkitan berbilang peringkat, bermula dengan APK penitis yang memudahkan pengawasan yang meluas.
Tapak penipuan, rustore-apk.github.io, meniru antara muka RuStore dan direka bentuk untuk menipu pengguna supaya memuat turun fail APK penitis yang dipanggil 'GetAppsRu.apk.'
Peranan Penitis dalam Serangan FireScam
Selepas pemasangan, penitis berfungsi sebagai mekanisme penghantaran untuk muatan utama. Komponen teras ini bertanggungjawab untuk mengumpul dan menghantar maklumat sensitif—seperti mesej, pemberitahuan dan data aplikasi—ke Pangkalan Data Masa Nyata Firebase.
Untuk mengukuhkan kawalannya, penitis meminta berbilang kebenaran, yang termasuk akses kepada storan luaran dan keupayaan untuk memasang, mengemas kini atau mengalih keluar aplikasi pada peranti Android yang menjalankan versi 8 dan lebih baharu.
Aspek FireScam yang amat membimbangkan ialah mengeksploitasi kebenaran ENFORCE_UPDATE_OWNERSHIP. Ciri Android ini membolehkan pemasang asal aplikasi menjadi 'pemilik kemas kini', bermakna hanya pemilik yang ditetapkan boleh memulakan kemas kini. Dengan memanfaatkan mekanisme ini, FireScam boleh menyekat kemas kini yang sah daripada sumber lain, memastikan kehadirannya berterusan pada peranti yang dijangkiti.
Ciri Pengelakan dan Pengawasan Lanjutan
FireScam menggunakan teknik pengeliruan untuk menahan pengesanan dan analisis. Ia secara aktif memantau pemberitahuan masuk, perubahan dalam keadaan skrin, aktiviti pengguna, kandungan papan keratan dan juga transaksi dalam talian. Ancaman itu juga mampu memuat turun dan memproses imej dari pelayan jauh, menambah satu lagi lapisan pada keupayaan pengawasannya.
Apabila dilancarkan, aplikasi penyangak Telegram Premium meminta kebenaran untuk mengakses kenalan pengguna, log panggilan dan mesej SMS. Ia kemudian membentangkan halaman log masuk yang mencerminkan laman web Telegram rasmi melalui WebView, cuba untuk menangkap kelayakan pengguna. Walau bagaimanapun, proses pengumpulan data dicetuskan walaupun pengguna tidak memasukkan butiran log masuk mereka.
Mengekalkan Akses Jauh Berterusan
Salah satu fungsi FireScam yang lebih berbahaya ialah keupayaannya untuk mendaftar untuk pemberitahuan Firebase Cloud Messaging (FCM). Ini membolehkan ancaman menerima arahan jauh dan mengekalkan akses rahsia yang berterusan kepada peranti. Selain itu, ia mewujudkan sambungan WebSocket dengan pelayan arahan dan kawalan (C2) untuk memudahkan pencurian data dan melaksanakan tindakan tidak selamat selanjutnya.
Komponen Berbahaya Lain dan Soalan Tidak Dijawab
Penyelidik juga mengenal pasti satu lagi artifak berbahaya yang dihoskan pada domain pancingan data, yang dirujuk sebagai 'CDEK.' Nama ini berkemungkinan merujuk kepada perkhidmatan logistik dan penjejakan pakej Rusia, mencadangkan aktiviti hasad yang lebih meluas melangkaui FireScam sahaja.
Masih tidak jelas siapa di sebalik operasi ini atau cara pengguna diarahkan ke pautan pancingan data ini. Taktik yang berpotensi boleh melibatkan pancingan data SMS (smishing) atau kempen malvertising. Dengan meniru perkhidmatan yang sah seperti RuStore, tapak web yang menipu ini memanipulasi kepercayaan pengguna untuk meyakinkan individu untuk memuat turun aplikasi penipuan.
Keupayaan FireScam untuk mengeluarkan data dan menjalankan pengawasan menggariskan risiko yang berkaitan dengan kaedah pengedaran dipacu pancingan data. Kes ini menyerlahkan cabaran berterusan dalam melindungi pengguna Android daripada ancaman yang mengeksploitasi kejuruteraan sosial dan mempercayai platform yang terkenal.
